Failles de type Meltdown et Spectre : Microsoft lance un Bug Bounty avec des récompenses à 250 000 dollars

Par:
fredericmazue

ven, 16/03/2018 - 16:08

Les failles Spectre et Meltdown, révélées au début de cette année ont fait grand bruit et n'ont pas fini d'avoir des répercussions.

Pour mémoire ces failles concernent l'exécution spéculative des microprocesseurs. L'exécution spéculative est une stratégie d'anticipation des microprocesseurs modernes. L'exécution spéculative consiste à anticiper l'exécution au delà de deux instructions de branchement non résolues. Les résultats de ces instructions exécutées spéculativement sont conservés dans des registres. Si la prédiction du processeur a été correcte, il peut donner le résultat de l'exécution immédiatement, ce qui est une optimisation importante. Le problème de ce système que l'on peut résumer à un système de cache, est qu'il contient des failles, Meltdown et Spectre, qui finalement permettent à un processus de lire de la mémoire ne lui appartenant pas (et donc sans avoir théoriquement les droits pour le faire).

Microsoft a été extrêmement réactive lorsque des failles ont été révélées, en publiant très vite des correctifs remédiant à ce qui pouvait être corrigé, c'est-à-dire sans nécessiter en plus une mise à jour du microcode des microprocesseurs.

Toutefois Microsoft ne s'endort pas sur ses lauriers. En effet l'entreprise de Redmond a bien compris qu'avec Meltdown et Spectre de nouveaux types d'attaques arrivent dans le monde de la cybersécurité et que les cybercriminels chercheront à exploiter des vulnérabilités similaires.

C'est pourquoi Microsoft lance un Bug Bounty dont le but est d'identifier des failles de même type que Meltdown et Spectre.

L'exécution spéculative est vraiment une nouvelle classe de vulnérabilités, et nous nous attendons à ce que des recherches soient déjà en cours pour explorer de nouvelles méthodes d'attaque. Ce programme de primes vise à favoriser cette recherche et la divulgation coordonnée des vulnérabilités liées à ces problèmes, souligne Microsoft

Il y a quatre niveaux de récompenses. Les découvertes de vulnérabilités peuvent être récompensées par des primes jusqu'à hauteur de 250 000 dollars.

Niveau 1 : découverte de nouveau type d'attaque d'exécution spéculative. Jusqu'à 250 000 dollars de récompense.

Niveau 2 : contournement d'exécution spéculative sur Azure. Jusqu'à 200 000 dollars de récompense.

Niveau 3 : contournement de l'atténuation de la faille d'exécution spéculative mise en place sur Windows. Jusqu'à 200 000 dollars de récompense.

Niveau 4 : instance d'une vulnérabilité d'exécution spéculative connue dans Windows ou Edge. Jusqu'à 25 000 dollars de récompense.